Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tema:
Ambato-Ecuador
marzo - 2022
APROBACIÓN DEL TUTOR
DENNIS VINICIO
CHICAIZA
CASTILLO
----------------------------------
TUTOR
ii
APROBACIÓN DEL TRIBUNAL DE GRADO
En calidad de par calificador del Informe Final del Trabajo de Titulación presentado
ELSA PILAR
URRUTIA
------------------------------------------
FELIX OSCAR
Firmado electrónicamente por:
FERNANDEZ CARLOS ISRAEL
PENA NUNEZ MIRANDA
------------------------------- -------------------------------
iv
DEDICATORIA
vi
AGRADECIMIENTO
vii
ÍNDICE DECONTENIDOS
DEDICATORIA ............................................................................................................ VI
INTRODUCCIÓN........................................................................................................ XV
viii
3.1 ANÁLISIS E INTERPRETACIÓN DE RESULTADOS ................................................... 26
3.1.1 RESULTADOS DE ENTREVISTA APLICADA ........................................................... 26
3.1.2 ANÁLISIS E INTERPRETACIÓN DE RESULTADOS DE LA ENTREVISTA APLICADA 28
3.2.1 ANTECEDENTES DE LA PROPUESTA .................................................................... 29
3.2.2 FUNDAMENTACIÓN TEÓRICA DEL SISTEMA OPERATIVO Y DE LAS
ANEXOS ......................................................................................................................... 89
ix
INDICE DE TABLAS
x
ÍNDICE DE ILUSTRACIONES
xi
Figura 30.Descripción de la alerta #3 identificada........................................................... 55
Figura 31.Descripción de la alerta #4 identificada........................................................... 55
Figura 32.Descripción de la alerta #5 identificada........................................................... 56
Figura 33.Descripción de la alerta #6 identificada........................................................... 56
Figura 34. Descripción de la alerta #7 identificada.......................................................... 56
Figura 35. Descripción de la alerta #8 identificada.......................................................... 57
Figura 36. Descripción de la alerta #9 identificada.......................................................... 57
Figura 37. Descripción de la alerta #10 identificada........................................................ 57
Figura 38. Interfaz de peticiones ...................................................................................... 58
Figura 39. Vista principal de Nessus................................................................................ 58
Figura 40. Escaneo de vulnerabilidades con NESSUS .................................................... 59
Figura 41. Carta de compromiso empresarial .................................................................. 90
Figura 42. Certificado empresarial ................................................................................... 91
Figura 43. Diagrama de Secuencia del proceso de envió de datos. ................................. 92
Figura 44. configuración de IIS del sitio web .................................................................. 95
xii
RESUMEN EJECUTIVO
El Capítulo II, "Marco teórico", contiene los antecedentes de la investigación que apoyará
el proyecto de investigación y sugerencias de soluciones a los problemas planteados.
xiii
ABSTRACT
The focus of this investigative work is the need to propose a plan to improve the computer
security of the system to generate appointments and logistics, in order to later create and
improve more robust and secure systems for the users of the AMBACAR dealership, since
it is an entity that has been recognized in the automotive market and hopes to improve
such software.
The distribution of the research on the proposed plan to improve computer security is as
follows:
Chapter II, "Theoretical framework", contains the background of the research that will
support the research project and suggestions for solutions to the problems raised.
Chapter III, "Methodology", describes the implementation of the project and demonstrates
the use and preparation of the qualitative-quantitative research methodology.
Chapter IV, "Proposal Formulation", uses the methods described in the previous chapter
to detail each step to be followed in the research and development process. In addition, a
document with the results obtained and a security improvement plan will be prepared.
xiv
INTRODUCCIÓN
Desde inicios de la historia, de una u otra manera siempre ha estado presente el concepto
de seguridad, que ha evolucionado incomparablemente a través del tiempo para adaptarse
a las nuevas circunstancias; en este ámbito ha existido la rivalidad entre quienes tienen el
tesoro (datos e información) y quienes lo quieren adquirir. Los primeros colocan todo tipo
de medidas de seguridad y los segundos intentan buscar debilidades y grietas que les
permita burlar las medidas de seguridad y, de esta manera, ingresar al tesoro anhelado.
xv
1 CÁPITULO I MARCO TEÓRICO
Auditoría de seguridad informática al sistema para generar citas y pagos de Facturación del
concesionario AMBACAR.
Ninguna de las otras tres revisiones bibliográficas Flowerday y Tuyikeze [3] y Cram y otros
[4] emplearon una perspectiva de herramienta computarizada en la investigación de gestión
de PSI. En cambio, han contribuido a sintetizar el conocimiento existente sobre lo que debería
influir en el diseño de los PSI, es decir, estas compilaciones pueden, hasta cierto punto, verse
1
como requisitos que las herramientas informáticas deben respaldar. Flowerday y Tuyikeze
[3] revisaron 21 documentos, "elementos publicados citados y predominantes sobre el tema
en Google Scholar", para comprender y sugerir un ciclo de vida de desarrollo de PSI. Los
autores nunca abordaron explícitamente los requisitos detallados para el diseño de PSI. En
cambio, su codificación de lo que las organizaciones deben tener en cuenta al desarrollar PSI
resultó en tres áreas amplias: (1) impulsores de políticas de seguridad, (2) orientación de
políticas de seguridad y (3) teorías existentes. Los impulsores de políticas de seguridad se
refieren a lo que presiona a las organizaciones para diseñar PSI y, según los autores, dicha
presión puede provenir tanto de fuentes externas como internas. La orientación de la política
de seguridad se refiere al uso de estándares de seguridad de la información, como la serie
ISO-27000, como apoyo al diseñar los PSI. Finalmente, las teorías existentes tratan sobre el
uso de teorías para comprender el comportamiento de seguridad de la información de los
empleados, argumentando que estas teorías deberían tener un impacto en el trabajo de diseño
[5].
2
Järveläinen [6] revisó 46 trabajos de investigación que abordan el desarrollo de PSI para
comparar los métodos de desarrollo del diseño de PSI y la planificación de la continuidad del
negocio y presentó un método integrado. Aunque no proporcionó ninguna categorización
explícita de lo que debería influir en el diseño de los PSI, concluyó que: los PSI se supone
que son un conjunto integral de principios duraderos, generales e independientes de la
tecnología, (2) El principal objetivo de un PSI es garantizar la confidencialidad, integridad y
disponibilidad de los datos de una organización, los PSI deben basarse en riesgos
reconocidos, y las partes interesadas deben participar en el diseño de los PSI.
3
ISO 27002:2005 ayuda en el aprendizaje de procesos seguros en el tratamiento de la
información.
Debido al libre acceso a sitios inseguros en la intranet y a la falta de una gestión adecuada en
la infraestructura técnica, esto restringe el trabajo al firewall de hardware, lo que a su vez
conduce a una desconfianza total en los pasantes universitarios debido a una gran cantidad
de vulnerabilidades.
4
Hace diez años ocurrió un particular incidente de seguridad en una reconocida empresa del
sur de Ecuador; quizás, este fue uno de los primeros casos de un ciberataque efectivo a una
empresa en Ecuador. La víctima era un importador de equipos comprados regularmente en
una fábrica china. En la comunicación por correo electrónico entre el jefe de la empresa local
y el exportador asiático, un hacker se infiltró, defraudó al empresario ecuatoriano y lo
impulsó a pagar a través de un banco internacional la Transferencia de dinero a una cuenta
fraudulenta de Hong Kong por un valor aproximado de US $ 40.000; aquí está la importancia
de la seguridad informática y las vulnerabilidades provocadas por múltiples sistemas
informáticos, no solo en el departamento de producción de la empresa, sino también en los
sistemas financieros, comerciales y de servicios de nuestro país [14].
5
necesidad de contar con algún mecanismo que le permita decidir si permite la ejecución de
la acción indicada en una solicitud sobre los recursos indicados [16].
Es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales
en Tecnologías de la Información (TI) con el objetivo de identificar, enumerar y describir las
diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las
estaciones de trabajo, redes de comunicaciones, servidores o aplicaciones [17].
6
Una auditoría de seguridad de los sistemas de información (AISS) es una revisión y un
examen independientes de los registros, actividades y documentos relacionados del sistema.
Estas auditorías están destinadas a mejorar el nivel de seguridad de la información, evitar
diseños de seguridad de la información inadecuados y optimizar la eficiencia de las medidas
de seguridad y los procesos de seguridad. El término "marco de seguridad" se ha utilizado de
diversas maneras en la literatura de seguridad durante el años, pero en 2006 pasó a utilizarse
como un término agregado para los diversos documentos, algunas piezas de software y la
variedad de fuentes que brindan asesoramiento sobre temas relacionados con la seguridad de
los sistemas de información, en particular, con respecto a la planificación, gestión o auditoría
de las prácticas generales de seguridad de la información para una institución dada [18].
Aunque la seguridad es un proceso interminable que requiere un seguimiento continuo,
todavía está en pañales. Además, la auditoría de seguridad es un área inexplorada y requiere
un marco simple para guiar el proceso. De ahí la necesidad de un estudio seguido de esta
propuesta de marco genérico que describa la información principal para las tareas de auditoría
de seguridad y las responsabilidades de los auditores desde el inicio de un proyecto [19].
Seguridad Informática
7
La seguridad de la información tiene como propósito es salvaguardar los activos de
información de una organización. Los controles para proteger la información se pueden
clasificar en tres categorías principales: controles técnicos, controles formales y controles
informales [24]. La implementación de controles técnicos, como firewalls, criptografía y
redes privadas virtuales, es esencial para que las organizaciones se mantengan protegidas
[25]. Sin embargo, las organizaciones no pueden depender únicamente de las soluciones
técnicas. Las organizaciones también necesitan contar con controles formales, como rutinas
administrativas, para prevenir incidentes de seguridad de la información y violaciones de la
seguridad de la información. Finalmente, los controles informales se enfocan en aspectos
sociales, como aumentar la conciencia de los empleados sobre temas de seguridad de la
información mediante programas de educación y capacitación [24].
Aun así, el concepto de PSI se usa con significados diferentes en diferentes contextos de uso
[28]. Es común clasificar los PSI en tres niveles [4].
En el nivel más alto se encuentra el nivel estratégico, donde la alta dirección expresa la
dirección estratégica y el alcance de los esfuerzos de seguridad de la información de la
organización. Este tipo de políticas proporciona una guía general para el programa de
seguridad de la información de la organización y asigna responsabilidades para diferentes
áreas de seguridad de la información.
El siguiente nivel son los operativos, que brindan orientación al usuario para tareas de trabajo
o tecnología específicas. Por lo tanto, estos PSI incluyen pautas y procedimientos de
procedimientos aceptables que los usuarios de PSI, como empleados y actores externos que
trabajan con activos de información del cliente, deben cumplir diariamente [4].
En el nivel más bajo son los PSI técnicos. Estos son la implementación de estándares, reglas
y procedimientos en tecnología de la información [29].
Los PSI se promulgan y realizan a través de las acciones de los usuarios de PSI en función
de su conocimiento local y situacional [28]. El incumplimiento de los PSI por parte de los
8
empleados se ha destacado como un problema perenne para muchas organizaciones, y estas
fallas se caracterizan comúnmente como un "problema de personas”. Por lo tanto, los
investigadores han buscado y aumentado el conocimiento de los factores relacionados con el
individuo que explican el bajo cumplimiento de los empleados. Además, los investigadores
han explorado cómo los programas de educación, capacitación y concientización sobre
seguridad pueden abordar este problema [30].
El diseño de PSI no es una tarea trivial y, a menudo, se considera como una fase en todo el
ciclo de vida de gestión de PSI [4]. La fase de diseño en sí contiene varias etapas y que es
una tarea de varias capas que requiere mucho esfuerzo por parte de los gerentes de seguridad
de la información. Por esa razón, los investigadores han propuesto diferentes tipos de soporte
de diseño. En la literatura es posible, por ejemplo, encontrar factores y lineamientos que
deben ser considerados al diseñar PSI como, así como marcos que muestran los procesos
paso a paso del desarrollo [31]. Además, para aliviar la carga de los administradores de
seguridad de la información, se han sugerido herramientas computarizadas [28].
9
conceptos vitales para la protección de la información y para mantener los sistemas de
información a salvo [10].
Confidencialidad
• Clasificación de la información
• Almacenamiento seguro de documentos
• Aplicación de políticas generales de seguridad
• Educación de los custodios y usuarios finales de la información [10].
Integridad
Disponibilidad
10
que la información sea accesible para cualquier usuario; sino que está disponible para
usuarios autorizados [32].
Intimidad
Identificación
Autenticación
Autorización
Una vez que se autentica la identidad de un usuario, un proceso llamado autorización brinda
la seguridad de que el usuario (ya sea una persona o una computadora) ha sido autorizado
específica y explícitamente por la autoridad correspondiente para acceder, actualizar o
eliminar el contenido de un activo de información [33].
Responsabilidad
Análisis de Riesgos
11
de ocurrencia y el impacto de estas, a fin de determinar los controles adecuados para tratar el
riesgo [17].
Las organizaciones y las personas se han vuelto dependientes de la facilidad de acceso a los
datos que brindan las tecnologías de la información y, al mismo tiempo, también se han
vuelto más vulnerables a las violaciones de la seguridad de los sistemas de información. La
gestión de riesgos es el proceso de descubrir el riesgo y determinar cómo se pueden controlar
o mitigar esos riesgos. Las vulnerabilidades son debilidades explotables en el diseño,
implementación y operación de los sistemas de protección de activos [32]. Una vez
explotadas, las vulnerabilidades pueden provocar la interrupción de los servicios y el robo y
destrucción de información y activos [32].
Mientras más redes informáticas se incorporen a las instituciones y mayor sea la facilidad de
acceso a los datos a través de la tecnología, más sistemas de información serán vulnerables a
las brechas de seguridad. Si bien es cierto que la posibilidad de interconexión a través de
redes ha traído grandes mejoras en la productividad, lo cierto es que también ha traído más
amenazas y riesgos [33].
Vulnerabilidades
12
bastante limitados: la inteligencia humana a menudo se requiere para complementar las
herramientas automatizadas y seguirá siendo necesaria en el futuro previsible [37].
Este incluye cualquier debilidad que pueda aprovecharse para causar pérdidas o daños al
sistema. De esta manera, el punto de seguridad más débil del sistema está compuesto por el
punto de seguridad más débil del sistema, que está compuesto por la mayor vulnerabilidad
del sistema. Atacarla es cualquier medida para explotar la vulnerabilidad [38].
Una vulnerabilidad es una debilidad en un sistema de TI que un atacante puede explotar para
lanzar un ataque exitoso. Pueden ocurrir a través de fallas, características o errores del
usuario, y los atacantes buscarán explotar cualquiera de ellos, a menudo combinando uno o
más, para lograr su objetivo final. Las vulnerabilidades son perseguidas y explotadas
activamente por toda la gama de atacantes. En consecuencia, ha crecido un mercado de fallas
de software, con vulnerabilidades de "día cero" (es decir, vulnerabilidades descubiertas
recientemente que aún no se conocen públicamente) que alcanzan cientos de miles de dólares
[39].
13
aplicaciones. La política debe basarse en que la aplicación de parches y la actualización sean
una parte obligatoria de las actividades de TI.
Vulnerabilidades de código y base de datos: si el software o una aplicación está mal escrito,
puede exponerse a vulnerabilidades de seguridad. La auditoría de su software y aplicaciones
en busca de vulnerabilidades de seguridad a nivel de código ayudará a identificar los puntos
donde los atacantes cibernéticos pueden atacar [41].
Hacking
Hacking Ético
El hacker ético es un profesional que tiene las habilidades para evaluar la seguridad de los
sistemas informáticos de manera integral, poner en práctica una serie de pasos secuenciales
y utilizar la "ética profesional" como criterio horizontal [38].
La política de seguridad es un documento que establece por escrito cómo una empresa planea
proteger sus activos físicos y de tecnología de la información (TI). Las políticas de seguridad
14
son documentos vivos que se actualizan y cambian continuamente a medida que cambian las
tecnologías, las vulnerabilidades y los requisitos de seguridad. La política de seguridad de
una empresa puede incluir una política de uso aceptable. Estos describen cómo la empresa
planea educar a sus empleados sobre la protección de los activos de la empresa. También
incluyen una explicación de cómo se llevarán a cabo y se harán cumplir las medidas de
seguridad, y un procedimiento para evaluar la efectividad de la política para garantizar que
se realicen las correcciones necesarias [44].
Las políticas de seguridad de la información (PSI) son utilizadas por las organizaciones para
comunicar reglas sobre el uso de los sistemas de información (SI). Los estudios de
investigación muestran que el cumplimiento de los PSI no es un problema sencillo y que
varios factores influyen en el comportamiento individual hacia el cumplimiento del PSI,
como la conciencia de seguridad o la percepción individual de las amenazas de seguridad
[43]. Las políticas de seguridad de la información están diseñadas para salvaguardar los
recursos de la red de las infracciones de seguridad [45].
Las políticas de seguridad cibernética son importantes porque los ataques cibernéticos y las
filtraciones de datos son potencialmente costosos. Al mismo tiempo, los empleados suelen
ser los eslabones débiles de la seguridad de una organización. Los empleados comparten
contraseñas, hacen clic en URL y archivos adjuntos maliciosos, usan aplicaciones en la nube
no aprobadas y se olvidan de cifrar archivos confidenciales. Grand Theft Data, un informe
de McAfee sobre exfiltración de datos, descubrió que las personas dentro de las
organizaciones causaron el 43% de la pérdida de datos, la mitad de los cuales fue accidental.
Las políticas de ciberseguridad mejoradas pueden ayudar a los empleados y consultores a
comprender mejor cómo mantener la seguridad de los datos y las aplicaciones [47].
15
quieren pruebas de que la organización puede proteger sus datos confidenciales. Sin una
política de seguridad cibernética, es posible que una organización no pueda proporcionar
dicha evidencia.
Ciberseguridad
La ciberseguridad es un tema importante tanto para los departamentos de TI como para los
ejecutivos de nivel C. Sin embargo, la seguridad debe ser una preocupación para todos los
empleados de una organización, no solo para los profesionales de TI y los altos directivos.
Una forma efectiva de educar a los empleados sobre la importancia de la seguridad es una
política de seguridad cibernética que explique las responsabilidades de cada persona para
proteger los sistemas y datos de TI [48]. Una política de ciberseguridad establece los
estándares de comportamiento para actividades como el cifrado de archivos adjuntos de
correo electrónico y restricciones en el uso de las redes sociales [49].
Tipos de ciberataques.
Malware: Tipo de ataque cibernético comúnmente llamado como software malicioso el cual
incluye spyware, ransomware, virus y gusanos, se centra principalmente infringir redes
mediante enlaces peligrosos o archivos adjuntos en los correos electrónicos, una vez dentro
del sistema puede bloquear el exceso de componentes claves, obtener información
furtivamente y alterar ciertos componentes del equipo [51].
16
MitM: Comúnmente conocido como ataque de hombre en medio (Man in the Middle), es
cuando un tercero consigue ingresar a la comunicación entre dos partes, sin que ninguna lo
sepa, de esta forma acceder a la información e incluso manipularla [53].
Inyección SQL: Esto sucede cuando un atacante utiliza el lenguaje de consulta del servidor
(SQL) para insertar código malicioso en el servidor, lo que obliga al servidor a proporcionar
información protegida. Este tipo de ataque suele implicar el envío de código malicioso a
comentarios o cuadros de búsqueda en sitios web desprotegidos. Las prácticas de
codificación seguras, como el uso de declaraciones preparadas con consultas parametrizadas,
son formas efectivas de evitar la inyección de SQL [55].
Pruebas de Penetración
Las pruebas de penetración tienen varios marcos que se pueden usar, uno de los cuales es
OWASP (Open Web Application Security Project) que se enfoca en la seguridad de las
aplicaciones web [56]. Se define como un conjunto de técnicas y métodos utilizados para
determinar el nivel de seguridad del sistema [42].
17
Clasificación de Pruebas de penetración
Caja negra: Se proporciona de antemano poca o ninguna información sobre los objetivos de
la evaluación. Es más común en las pruebas de penetración de redes.
Caja de blanca: Suelen ser ejecutados por equipos internos, pero ahora es más común
asignarlos a equipos externos. El equipo de pruebas suele ser parte del equipo de control de
calidad y, por lo tanto, se convierte en parte del ciclo de vida del desarrollo de software.
Puede acceder al código fuente para verlo e informar de las vulnerabilidades encontradas.
Caja gris: Este es el tipo de prueba más común. Se necesita más trabajo para obtener la
información necesaria. La comunicación entre el equipo de prueba y la empresa evaluada es
crucial [58].
OWASP
OWASP (Open web application security project) es un proyecto de seguridad en aplicaciones
web de código abierto, se encarga de identificar y procesar las vulnerabilidades presentadas
en los servidores web y evitar que usuarios malintencionados accedan a la información
privada recopilada en el sistema de información web. La Fundación OWASP es una
organización sin fines de lucro que apoya y administra los proyectos y la infraestructura de
OWASP [59].
Los informes de estos proyectos incluyen un Manual de buenas prácticas de OWASP bien
probado y autoevaluado para que las organizaciones lo utilicen como base para proteger los
datos acoplados en el sistema de red. Los procedimientos de prueba para aplicaciones web
se especifican en dos etapas: uso pasivo y activo de auditorías de caja negra [60].
OWASP es una organización sin fines de lucro que se enfoca en mejorar la seguridad del
software. OWASP proporciona muchas herramientas, guías y metodologías de prueba para
la seguridad cibernética bajo una licencia de código abierto, específicamente OWASP
Testing Guide (OTG). El OTG se divide en tres partes principales, incluido el marco de
prueba OWASP para el desarrollo de aplicaciones web, la metodología de prueba de
aplicaciones web y los informes de evaluación del sistema. La metodología de prueba de
aplicaciones web se puede usar de forma independiente o se puede usar como un marco de
prueba. Un desarrollador de aplicaciones web puede usar el marco para crear aplicaciones
web considerando los aspectos de protección y seguridad seguidos de pruebas de seguridad
18
con el método de prueba de penetración para probar la seguridad del sistema de la aplicación
web desarrollada [61]. El marco de la guía de pruebas de OWASP tiene un fuerte enfoque en
el nivel de seguridad de las aplicaciones web en todos los aspectos de los ciclos de vida de
desarrollo de software que difieren de otros marcos de pruebas de seguridad de pruebas de
penetración, como ISSAF y OSSTMM, que son ambos destinados a probar la seguridad. de
la implementación. La Guía de prueba de OWASP está dirigida específicamente a un solo
ámbito de dominio, que son las aplicaciones web [62]
Herramienta NESSUS
Vega es un escáner de seguridad web gratuito y de código abierto y una plataforma de prueba
de seguridad web para probar la seguridad de las aplicaciones web. Vega ayuda a encontrar
y validar SQL Injection, Cross-Site Scripting (XSS), información confidencial divulgada
inadvertidamente y otras vulnerabilidades. Está escrito en Java, basado en GUI y se ejecuta
en Linux, OS X y Windows. Vega ayuda a encontrar vulnerabilidades tales como: secuencias
de comandos entre sitios reflejadas, secuencias de comandos entre sitios almacenadas,
inyección ciega de SQL, inclusión remota de archivos, inyección de shell y otras. Vega
también investiga la configuración de seguridad de TLS/SSL e identifica oportunidades para
mejorar la seguridad de sus servidores TLS. Vega incluye un escáner automatizado para
pruebas rápidas y un proxy de interceptación para inspección táctica. El escáner Vega
encuentra XSS (secuencias de comandos entre sitios), inyección de SQL y otras
vulnerabilidades. Vega se puede ampliar mediante una potente API en el lenguaje de la web:
Javascript [64].
19
OWASP ZAP
OWASP Zed Attack Proxy (ZAP) es una herramienta integrada dedicada a las pruebas de
penetración que permite identificar vulnerabilidades en aplicaciones web y sitios web. Es una
solución fácil y flexible que se puede usar independientemente del nivel de competencia: es
adecuada para cualquier persona, desde un desarrollador que comienza con pentesting hasta
profesionales en el campo. portada de owasp zap ZAP está compuesto por dos macro-
secciones. El primero es un escáner de vulnerabilidades automatizado que puede identificar
problemas y proporciona un informe para desarrolladores, administradores de sistemas y
profesionales de la seguridad con todos los detalles de las vulnerabilidades descubiertas para
solucionarlas. El segundo permite que ZAP funcione como un proxy e inspeccione el tráfico
y todas las solicitudes y eventos HTTP/S; también existe la interesante capacidad de
modificarlos para analizar comportamientos que se diferencien de la norma o analizar sus
desencadenantes que pueden ser perjudiciales para el sistema. Dada su naturaleza riesgosa y
al ser una herramienta muy poderosa, su uso debe limitarse a entornos en los que tenga el
consentimiento para realizar la prueba y la seguridad de que no se pueden producir daños
permanentes, ya que existe algún tipo de protección de la aplicación web [65].
1.3 Objetivos
1.3.1 General
Determinar el nivel de seguridad de información del sistema para generar citas y pagos de
Facturación del concesionario AMBACAR mediante el análisis de vulnerabilidades.
1.3.2 Específicos
• Investigar sobre la tecnología y los procesos utilizados por AMBACAR para crear y
administrar páginas web y sus repositorios.
• Determinar la metodología para el análisis de seguridad.
• Determinar las herramientas open source para el análisis de vulnerabilidades de
acuerdo con la metodología seleccionada.
• Proponer soluciones para mejorar la seguridad del sistema para generar citas y pagos
de Facturación de acuerdo con las vulnerabilidades y problemas de seguridad
encontrados.
20
2 CÁPITULO II METODOLOGÍA
2.1 Materiales
Tabla 1. Materiales
21
OWAS ZAP Software utilizado para
análisis de vulnerabilidades
del sitio web.
Tabla 2. Entrevista
Fuente: Elaboración Propia
Nº Preguntas
1 ¿Qué tipo de servidor utilizaron para crear el sistema para generar citas, pagos de
Facturación y logística?
2 ¿Cuál fue el lenguaje utilizado para el desarrollo del sistema para generar citas, pagos
de Facturación y logística?
3 ¿Qué tipo de base de datos utilizaron para crear el sistema para generar citas, pagos
de Facturación y logística?
5 ¿El sistema para generar citas, pagos de Facturación y logística se encuentra dividido
en módulos, si es correcto cuántos y cuáles son?
22
7 ¿Existe un registro de errores del sistema de almacenamiento y en qué consiste?
9 ¿Qué tipo de cifrado utiliza el sistema para proteger información vulnerable, como
contraseñas?
2.2 Métodos
La investigación fue de tipo bibliográfica porque será de gran ayuda la indagación en libros,
documentos técnicos, artículos y tesis del área informática para la elaboración y sustentación
del marco teórico, posterior a ello será de fundamento en la realización de las políticas de
seguridad.
La investigación fue de tipo aplicada, ya que con los conocimientos adquiridos durante los
previos semestres aprobados se llevó a cabo la planificación, análisis y realización de nuevas
23
políticas de seguridad con respecto al Sistema para Generar citas y Pagos de Facturación del
concesionario AMBACAR.
2.2.2.1 Población
2.2.2.2 Muestra
La información fue recolectada a través de una entrevista aplicada a la persona encargada del
Sistema para Generar citas y Pagos de Facturación del concesionario AMBACAR, para lo
cual se hará el uso de un cuestionario con preguntas cerradas con la finalidad de alcanzar los
objetivos planteados en el trabajo de investigación.
¿De qué personas u objetos? Encargado del Sistema de citas y facturación del
concesionario AMBACAR
24
¿Dónde? AMBACAR
¿Cuántas veces? 1
Con el fin de cumplir los objetivos de la investigación se prevé la realización de las siguientes
actividades:
1. Definir antecedentes
2. Describir las herramientas del Sistema para Generar citas y Pagos de Facturación del
concesionario AMBACAR
3. Consensuar las vulnerabilidades con sus posibles soluciones, esto referente a cada
herramienta de análisis previamente seleccionada.
4. Construir un plan de contingencia para prevenir ataques de seguridad informática.
25
3 CÁPITULO III RESULTADOS Y DISCUSIÓN
Mediante esta entrevista se recolectó los datos pertinentes en cuanto a la creación y desarrollo
del sistema, comprobando que la empresa creo un plan de gestión de riesgos de seguridad
para el manejo y uso de la información, sin embargo, no se estaba cumpliendo a cabalidad.
Preguntas Respuesta
26
¿Qué tipo de base de datos utilizaron para MySQL
crear el sistema para generar citas, pagos de
Facturación y logística?
¿El sistema para generar citas, pagos de Si está dividido en módulos y son dos citas
Facturación y logística se encuentra y pagos de facturación.
dividido en módulos, si es correcto cuántos
y cuáles son?
¿Existe un registro de errores del sistema de Existe una bitácora con excepciones en
almacenamiento y en qué consiste? Logística, los demás desarrollos no tienen
esto.
¿La empresa cuenta actualmente con una Si cuenta con políticas de seguridad de la
política de privacidad en cuanto al manejo
información basados en la ISO 27001.
de la información?
27
¿La empresa tiene un inventario de sus La entidad posee un inventario de sus
recursos de TI existentes y utilizados? recursos de Ti existentes y en uso.
Publicar el proyecto.
Fue posible identificar y conocer la tecnología con la que se desarrolló el sistema, a su vez
se pudo identificar aspectos importantes que serán de gran ayuda en el análisis de
vulnerabilidades del sitio web.
Entre los diferentes aspectos que se pudo identificar son: el servidor del sistema, base de
datos, lenguajes de programación, arquitectura, modularidad, registro de errores, capacidad
de usuarios, certificado de seguridad y cifrado utilizado en la protección de información
28
vulnerable, todo a favor de ser soporte en la generación de soluciones con respectos a las
vulnerabilidades que posee el sistema.
Las aplicaciones web, deben cumplir con ciertos estándares de seguridad que permitan
garantizar su adecuado funcionamiento, de manera que esté disponible cuando sea necesario,
que existan garantías de que los datos de carácter sensible sean procesados correctamente y
que solo puedan acceder a ellos las personas autorizadas.
Con base en la situación anterior, se recomienda elaborar un informe que registre los
resultados obtenidos anteriormente, señalando las posibles soluciones adecuadas para cada
vulnerabilidad informática detectada en la aplicación para generar citas y pago de facturas
para los concesionarios AMBACAR, para esta función se ha determinó que en la aplicación
Web también se ha analizado la seguridad de su información a través de ataques informáticos.
Finalmente, se presentará un documento final con una lista de posibles soluciones y
sugerencias para mejorar la seguridad de la información del sistema Web.
29
3.2.2 Fundamentación teórica del Sistema Operativo y de las herramientas
que usa su servidor.
30
ASP.NET es una plataforma para el desarrollo 6.0 6.0
de aplicaciones web compuesta por lenguajes,
bibliotecas y herramientas, comercializado por
Microsoft que permite a los desarrolladores
crear sitios dinámicos usando un lenguaje de
programación completo como C#, VB.NET,
F# y Visual Basic [68].
31
Figura 2.Proceso de creación de repositorios
3.2.4.1 ISSAF
32
Fase II. Evaluación: Pruebas de Seguridad de Penetración de la ISSAF.
Fase III. Informes, limpieza y destrucción de artefactos: los controles de seguridad eliminan
toda la información creada y almacenada en el sistema.
Describe las pautas sobre cómo realizar una evaluación de seguridad de la información (ESI)
y la conceptualiza como el proceso de determinar la eficacia de la evaluación de una entidad
en relación con objetivos de seguridad específicos. Implica realizar pruebas de penetración y
recomienda los siguientes pasos:
Fase de planificación: Definir las reglas a seguir durante las pruebas de penetración y crear
las condiciones técnicas y organizativas necesarias.
3.2.4.3 OSSTMM
33
del concepto de seguridad. Si bien las pruebas en él y las pruebas realizadas no son
especialmente innovadoras, se han convertido en un verdadero referente para las
organizaciones que buscan desarrollar pruebas de alta calidad, estructuradas y eficientes [71].
Incluye cuatro etapas:
Fase de interacción: se trata de explorar la relación entre el alcance, los objetivos y los
recursos relacionados.
En el caso de una aplicación web, no contiene etapas, canales o módulos específicos para ser
evaluados.
3.2.4.4 OWASP
Lanzada en 2014, la cuarta edición de OWASP Testing Guide está muy enfocada a probar
aplicaciones web y se está convirtiendo en uno de los proyectos de referencia en la materia.
OWASP se ha convertido en el estándar común para cualquier desarrollador de seguridad
[72]. Se divide en grupos de pruebas de seguridad para probar aspectos específicos de una
aplicación web:
• Recopilación de Información.
• Pruebas de seguridad a la configuración y despliegue.
• Pruebas de seguridad a la gestión de la identidad.
• Pruebas de seguridad al proceso de autenticación.
• Pruebas de seguridad al proceso de autorización.
• Pruebas de seguridad al proceso de gestión de sesiones.
• Pruebas de seguridad a la validación de entradas.
• Pruebas de seguridad al manejo de errores.
• Pruebas de seguridad a los mecanismos criptográficos.
• Prueba de seguridad a la lógica de negocios.
34
• Pruebas de seguridad del lado del cliente.
Dado que los principios de prueba de OWASP son un enfoque específico del dominio, la fase
de informes podría desarrollarse mejor. Duplica las pruebas de seguridad en varias etapas y,
a menudo, descubre fuertes dependencias entre las fases de una prueba de seguridad sin
abordar cómo se gestionan estas relaciones recíprocas para evitar la duplicación. Los
esfuerzos conducen al mismo resultado.
AMBACAR
35
NIST SP Guía técnica Soportada y Difícil de Fases de pruebas
800-115 para pruebas mantenida por el comprender al de penetración:
y evaluación gobierno de auditor sin Fase I:
de seguridad EEUU la hace experiencia.
Planificación.
de la una guía de Es poco
usual Fase II:
información, confianza. conocer todas las Descubrimiento.
donde recomendaciones
describe las Fase III:
y pruebas.
pautas de Documentación
como realizar y reporte.
una
evaluación de
seguridad de
la
información.
36
web, con un Ofrece pruebas configuración y
alto nivel de necesarias para despliegue.
exigencia en comprobar si un Pruebas de
sus procesos sitio web es seguridad a la
y controles. vulnerable, gestión de la
identidad.
Pruebas de
seguridad al
proceso de
autenticación.
Pruebas de
seguridad al
proceso de
autorización.
Pruebas de
seguridad al
proceso de
gestión de
sesiones.
Pruebas de
seguridad a la
validación de
entradas.
37
necesidad de realizar pruebas de seguridad para evaluar la función de
descifrado inseguro, así como el registro de la aplicación y el monitoreo
del sitio web.
Dentro de Testing Guide 4.0 - OWASP Foundation menciona varias herramientas que se
puede usar en cada una de las diferentes pruebas de seguridad, en las cuales consta software
open source, comercial y gratis [72].
AMBACAR
38
docenas de nodo del generación de
diferentes tipos servidor y no informes.
de paga el servidor. Con el uso se
vulnerabilidad La solucion ralentiza la
[74]. tiene una herramienta.
configuración
bastante simple,
39
seguridad y Observa e puertos tan en Seguridad en
vulnerabilidad interactúa con la profundidad. aplicaciones
de aplicaciones comunicación web.
Vulnerabilidade
web gratuito y entre clientes y s en host pueden Herramientas de
de código servidores. pasar monitoreo.
abierto [76]. Multiplataforma desapercibidas Licencia tipo
. por la Open Source.
herramienta en
algunos casos.
41
2. Colocar la IP de destino o rango de IP.
42
4. Colocar el comando NMAP para encontrar detalles adicionales para el escaneo.
5. Activar el proceso de escaneo para la dirección IP o link.
6. Terminado el escaneo podemos observar en la parte media izquierda los host y servidores.
43
7. En el área de salida podemos seleccionar entre Salida Nmap, Puertos/Servidores,
Topología, Detalles del servidor, Escaneos.
1. Utilización de la herramienta
1.1 Abrir el aplicativo e identificar las secciones que conforman la herramienta de análisis
B) Información de escaneo
C) Alertas de escaneo
44
D) Identidades
45
1.5 Identificar ventana de nuevo escaneo con sus respectivos elementos
46
1.8 Configurar cookies e identidad de autenticación a usar durante el escaneo y agregar
nombres de parámetros para evitar errores.
47
2. Resultados obtenidos
2.1 Visualizar las alertas encontradas en el escaneo, en ello se podrá visualizar el riesgo
clasificándolos en alto, medio, bajo e informativo
48
2.3 Visualizar el detalle a cada riesgo identificando posible solución e impacto
49
Figura 20.Descripción de riesgo #3
50
3.2.6.3 Herramienta Owasp Zap
1. Utilización de herramienta
1.1 Abrir el aplicativo e identificar las secciones que conforman la herramienta de análisis
B) Sitios analizados
C) Opciones de salida
51
1.2 Seleccionar escaneo automático
1.3 Ingresar la dirección a realizar el análisis y presionar en atacar para empezar con el
escaneo
2. Resultados obtenidos
2.1 Identificar las salidas del escaneo realizado, en ello se visualizará todas las alertas de
riesgo
52
Figura 25.Interfaz de Owasp Zap, Salidas de escaneo
2.2 Visualizar la descripción detallada de cada alerta, identificando una breve información y
la posible solución al problema encontrado
Una vez visualizado el detalle referente a la alerta seleccionada se podrá visualizar la línea
de codificación en donde se encuentra dicho problema.
53
Figura 27.Interfaz de Owasp Zap, Línea de codificación de la alerta seleccionada.
54
Figura 29.Descripción de la alerta #2 identificada
55
Figura 32.Descripción de la alerta #5 identificada
56
Figura 35. Descripción de la alerta #8 identificada
57
2.3 Visualizar las peticiones realizadas a las diferentes direcciones relacionadas con el url de
análisis
1. Utilización de herramienta
1.1 Abrir el aplicativo e identificar las secciones que conforman la herramienta de análisis
A. Sección de escanear
B. Ajustes
C. Importar
D. Nueva carpeta
E. Nuevo scan
58
2. Análisis del servidor
Figura 40. Escaneo de vulnerabilidades con NESSUS
Fuente: Elaboración Propia
59
3.2.7 Análisis de las vulnerabilidades
Herramienta
Vulnerabilidad Riesgo Discusión Solución
de análisis
Cleartext Alto VEGA Se detectó un formulario con un campo de Diagrama de secuencia para él envió de
Password over entrada de contraseña que se envía a un objetivo datos.
HTTP no seguro (HTTP). Los valores de contraseña Revisar Anexo C.
nunca se deben enviar sin cifrar a través de
canales no seguros. Esta vulnerabilidad podría
resultar en la divulgación no autorizada de
contraseñas a atacantes de red pasivos.
Sessioni Cookie Alto VEGA Vega ha detectado que es posible que se haya Política de creación de cookies.
Without Secure establecido una cookie de sesión conocida sin el Revisar Anexo C.
Flag indicador de seguridad.
56
From Password Baja VEGA Vega detectó un formulario que incluía un Política para la creación de campos.
Field with campo de entrada de contraseña. El atributo de Revisar Anexo C.
Autocomplete autocompletar no estaba desactivado. Esto
Enable puede resultar en que algunos navegadores
almacenen localmente los valores ingresados
por los usuarios, donde pueden ser recuperados
por terceros.
Cookie Informativa VEGA Vega ha notado que esta cookie se configuró sin Política de atributo HttpOnly de una
HttpOnly Flag el indicador HttpOnly. Cuando este indicador cookie.
Not SeT no está presente, es posible acceder a la cookie Revisar Anexo C.
a través del código de secuencia de comandos
del lado del cliente. El indicador Httponly es
una medida de seguridad que puede ayudar a
mitigar el riesgo de ataques de secuencias de
comandos entre sitios que tienen como objetivo
las cookies de sesión de la víctima.
57
Ausencia de Baja OWASP ZAP No se encontraron tokens de fichas Anti-CSRF Política de fichas Anti-CSRF.
fichas Anti- en el formulario HTML. Revisar Anexo C.
CSRF Una solicitud falsa entre sitios en un ataque que
compromete y obliga a una víctima a enviar su
solicitud HTTP a un objetivo sin su
conocimiento o intención para poder realizar
una
Cookie without Baja OWASP ZAP Se ha establecido una cookie sin el indicador de Política de atributo HttpOnly de una
Secury Flag seguridad, lo que significa que se puede acceder cookie.
a la cookie a través de conexiones no cifradas. Revisar Anexo C.
Cross-Domain Baja OWASP ZAP La página incluye 1 o más archivos script de un Política de fuente de archivos.
JavaScript dominio de terceros. Revisar Anexo C.
Source Files
Inclusion
58
Divulgación de Baja OWASP ZAP Una marca de tiempo ha sido divulgada por el Política de divulgación.
la marca de la servidor de la aplicación/el navegador-Unix. Revisar Anexo C.
hora – Unix
El servidor Baja OWASP ZAP El servidor de la web/aplicación está Política de encabezados de servidor.
divulga divulgando información mediante uno o más Revisar Anexo C.
información encabezados de respuesta HTTP "X-Powered-
mediante un By". El acceso a tal información podría
campo de facilitarles a los atacantes la identificación de
encabezado de otros marcos/componentes de los que su
respuesta HTTP aplicación web depende y las vulnerabilidades a
X-Powered By las que pueden estar sujetos a tales
componentes.
Incomplete or Baja OWASP ZAP El encabezado de control de caché no se ha Políticas de directivas de control de
No Cache- configurado correctamente o falta, lo que cache.
control Header permite que el navegador y los proxies
Revisar Anexo C.
Set almacenen en caché el contenido.
59
X-AspNet- Baja OWASP ZAP El servidor devuelve información mediante Política preventiva de ataque tipo
Version campos de encabezado de respuesta HTTP “X MIME.
Response ASPNET VERSION” Revisar Anexo C.
Header
Divulgación de Informativa OWASP ZAP La respuesta parece contener comentarios Política de divulgación.
información sospechosos que pueden ayudar a un atacante. Revisar Anexo C.
60
Nota: Las coincidencias realizadas dentro de los
bloques de secuencias de comandos o archivos
son contra todo el contenido, no solo las
comunicaciones.
SSL Version 2 Alto NESSUS El servicio remoto acepta conexiones Política de uso de SSL.
and 3 Protocol encriptadas usando SSL 2.0 y / o SSL 3.0. Estas Revisar Anexo C.
versiones de SSL se ven afectadas por varios
defectos criptográficos, que incluyen: - Un
esquema de relleno inseguro con cifrados CBC.
SSL Certificate Medio NESSUS No se puede confiar en el certificado X.509 del Política de confiabilidad de certificado.
servidor. Esta situación puede ocurrir debido a Revisar Anexo C.
que se puede romper la cadena de confianza. Si
el host remoto es un host público en producción,
cualquier interrupción en la cadena hace que sea
más difícil para los usuarios verificar la
autenticidad e identidad del servidor web.
SSH Server Bajo NESSUS El servidor SSH está configurado para admitir Política de cifrado se servidor.
CBC Ciphers el cifrado Cipher Block Chaining (CBC). Revisar Anexo C.
61
3.2.8 Plan de contingencia
3.2.8.1 Introducción
La tecnología de la información (TI) y los sistemas de información automatizados son
elementos vitales en la mayoría de los procesos comerciales. Debido a que estos recursos de
TI son tan esenciales para el éxito de una organización, es fundamental que los servicios
proporcionados por estos sistemas puedan operar de manera efectiva sin interrupciones
excesivas. La planificación de contingencia respalda este requisito mediante el
establecimiento de planes y procedimientos completos y medidas técnicas que pueden
permitir que un sistema se recupere de manera rápida y eficaz después de una interrupción
del servicio o un desastre.
Este documento brinda orientación a las personas responsables de preparar y mantener los
planes de contingencia de TI. El documento analiza los elementos y procesos esenciales del
plan de contingencia, destaca las consideraciones y preocupaciones específicas asociadas con
la planificación de contingencia para varios tipos de sistemas de TI y proporciona ejemplos
para ayudar a los lectores a desarrollar sus propios planes de contingencia de TI.
3.2.8.2 Objetivo
62
La orientación presentada debe considerarse durante cada etapa de la planificación de
contingencia, comenzando con la conceptualización de los esfuerzos de planificación de
contingencia hasta el mantenimiento del plan y la eliminación del plan de contingencia. Si se
utiliza como una herramienta de gestión de la planificación durante todo el proceso de
planificación de contingencias, este documento y sus apéndices deben brindar a los usuarios
prácticas para ahorrar tiempo y costos.
3.2.8.3 Alcance
El documento describe los principios de planificación que se pueden aplicar a una amplia
variedad de incidentes que podrían afectar las operaciones del sistema de TI. El alcance
incluye incidentes menores que causan daños a corto plazo interrupciones a desastres que
afectan las operaciones normales durante un período prolongado. Debido a que los sistemas
de TI varían en diseño y aplicación, los tipos de incidentes específicos y las medidas de
contingencia asociadas no se proporcionan en este documento. En cambio, la guía de
63
planificación define un proceso que puede ser seguido por cualquier sistema de TI para
identificar los requisitos de planificación y desarrollar un efectivo plan de contingencia para
el desastre.
3.2.8.5 Definiciones
Acuerdo de Confidencialidad: Documento que todos los usuarios deben firmar para acceder
a los recursos informáticos del concesionario Ambacar. Administrador: El usuario tiene
encomendada la tarea de administrar los recursos informáticos y cuenta con una identidad
que le permite tener derechos administrativos sobre los recursos informáticos de la entidad
que estará bajo el control del coordinador del sistema.
64
recursos informáticos del acceso inapropiado. Incidente de seguridad de la información:
indica un solo incidente o una serie de incidentes de seguridad de la información inesperado
o inesperados que tienen una alta probabilidad de afectar las operaciones de la casa comercial
Ambacar y afectar la seguridad de la información.
Copyright: es un conjunto de derechos exclusivos utilizados por ley para regir el uso de
ciertas expresiones, ideas o información. Más generalmente, se refiere a los derechos de autor
de las obras (poemas, juegos, literatura, películas, obras musicales, grabaciones de sonido,
pinturas, esculturas, fotografías, software, radio, televisión y otras formas de expresión de
ideas o conceptos), independientemente de si se utiliza un medio auxiliar (impreso, digital),
65
y en muchos casos se asocia la protección asociada a un determinado período de tiempo. En
muchos casos, los derechos de autor están directamente relacionados con la protección de los
derechos patrimoniales sobre una obra. Salvapantallas: el programa se activa a voluntad o se
inicia automáticamente después de un período de inactividad. Servidor proxy: un servidor
que actúa como puerta de enlace a Internet. Recursos informáticos: Elementos de tecnología
de la información tales como: servidores de datos y aplicaciones, computadoras de escritorio,
portátiles, elementos multimedia, elementos del sistema visual, elementos de
almacenamiento de información, programas y datos.
Open Source: Este es el término utilizado para entender el software desarrollado y distribuido
libremente, donde una licencia define los usos que se le pueden otorgar al software. Software
gratuito: una vez adquirido, el software se puede usar, copiar, modificar o redistribuir de
forma gratuita, y tiene una licencia expresa para hacerlo. Software de piratería: copias
ilegales de aplicaciones o programas utilizados sin una licencia según lo exige la ley.
Software de Dominio Público: Un tipo de software que no requiere ninguna licencia, el
66
derecho de crear, usar y otras funciones está reservado para todos y su creador no se ve
afectado ya que pertenece a todas las mismas personas. En general, el software de dominio
público es software de uso completamente gratuito con propiedad intelectual.
Software Libre: Software informático que se distribuye gratuitamente sin código fuente.
Shareware: una categoría de software o programas diseñados para ser evaluados durante un
período de tiempo o para proporcionar alguna funcionalidad básica. Se requiere el pago en
efectivo para la adquisición completa del software. Módem (Modulador): Es un componente
de comunicación que permite transmitir información a través de líneas telefónicas.
Monitoreo: Verificar la actividad de los usuarios en los recursos informáticos del
franquiciado Ambacar. OTP (contraseña de un solo uso): Una contraseña proporcionada por
el administrador del recurso informático que permite el acceso por primera vez a este recurso
y obliga al usuario a cambiar la contraseña cuando se completa el acceso. Plan de
Contingencia: Un plan que brinda flexibilidad de tiempo para restaurar los servicios
relacionados con el sistema de información de franquicias de Ambacar en caso de un desastre
y otras interrupciones de las operaciones normales. Política: Todas las intenciones y
direcciones son formalmente expresadas por la gerencia.
Software Libre: Software informático que se distribuye gratuitamente sin código fuente.
Shareware: una categoría de software o programas diseñados para ser evaluados durante un
período de tiempo o para proporcionar alguna funcionalidad básica. Se requiere el pago en
efectivo para la adquisición completa del software. Módem (Modulador): Es un componente
de comunicación que permite transmitir información a través de líneas telefónicas.
Monitoreo: Verificar la actividad de los usuarios en los recursos informáticos del
franquiciado Ambacar. OTP (contraseña de un solo uso): Una contraseña proporcionada por
el administrador del recurso informático que permite el acceso por primera vez a este recurso
y obliga al usuario a cambiar la contraseña cuando se completa el acceso. Plan de
Contingencia: Un plan que brinda flexibilidad de tiempo para restaurar los servicios
67
relacionados con el sistema de información de franquicias de Ambacar en caso de un desastre
y otras interrupciones de las operaciones normales. Política: Todas las intenciones y
direcciones son formalmente expresadas por la gerencia. Usuario: Cualquier persona con
acceso a los recursos informáticos de la Sala. Usuarios de Web y Correo: Usuarios con los
que la Concesionario Ambacar comparte un ID de Cliente para acceder a sus recursos
informáticos.
Usuarios Externos: Clientes externos que utilizan los recursos informáticos del Departamento
a través de Internet o de otro modo y tienen acceso únicamente a información clasificada.
Usuarios externos contratados: Usuarios externos contratados con la Concesionario Ambacar
y tienen acceso limitado a los recursos informáticos para uso interno.
3.2.8.6 Responsable
68
3.2.8.7 Procedimiento
Las políticas de seguridad informática están diseñadas para reducir el riesgo y minimizar el
impacto de los incidentes de seguridad. Establecen los principios básicos por los cuales una
organización debe operar sus recursos informáticos. Las reglas de seguridad informática
están diseñadas para reducir y eliminar muchos de los principales factores de riesgo que
existen.
Estos estándares se aplican a todos los usuarios de los recursos informáticos y se dividen en:
Política de Cumplimiento y Sanciones, Política sobre el uso de los recursos informáticos,
política de contraseñas, Política de uso de la información, Reglas para el uso de Internet y
correo electrónico, Política del uso de Intranets y Sitios Web, Política general del Palacio
Presidencial, Reglas para desarrolladores de software, Política para administradores de
sistemas, Estrategia de respaldo, Política de uso de cortafuegos, Política para usuarios
externos, Política de acceso físico, Reglas para el uso de computadoras portátiles.
69
Todos los empleados de la organización, así como los contratistas, deben cumplir y adherirse
a las políticas y procedimientos relacionados con la protección y seguridad de la información.
El presidente del Concesionario Ambacar y el Oficial de Seguridad de la Información son
los responsables de velar por su estricto cumplimiento.
Los recursos informáticos disponibles para Ambacar con fines operativos son únicamente
para fines relacionados con el trabajo. Los productos que utilicen los recursos técnicos
anteriores serán propiedad del Sujeto y se incluirán en el directorio de políticas del Sujeto.
Todos los demás usos requieren aprobación previa del Palacio Presidencial.
La contraseña asignada por cada usuario para acceder al sistema de información deberá ser
personal, confidencial e intransferible. Cada usuario debe asegurarse de que su contraseña no
sea vista por otros y saber
Para evitar afectar múltiples recursos informáticos, cada usuario debe usar una contraseña
diferente para cada recurso al que tenga acceso. Esto también se aplica a los dispositivos de
comunicación (cortafuegos, enrutadores, servidores de control de acceso) y sus
administradores.
Todos los usuarios deben cambiar automáticamente sus contraseñas al menos cada 30 días.
Todas las contraseñas deben tener al menos ocho (8) caracteres con alguna de las siguientes
características: Contiene una combinación de números, letras mayúsculas y minúsculas y
caracteres especiales.
El usuario no debe generar una contraseña que sea esencialmente igual o similar a la
contraseña que ha utilizado anteriormente. Esta política se complementa con la Política de
circuito cerrado.
Almacenamiento de contraseñas.
71
La divulgación de contraseñas a empleados o terceros está prohibida en ninguna
circunstancia. Las contraseñas personales no deben introducirse en presencia de terceros,
aunque sean personas físicas. Ningún usuario puede intentar obtener una contraseña de otro
usuario.
Se hace constar expresamente que la información pública del registro sólo se gestiona para
el registro público de conformidad con las normas legales y reglamentarias aplicables en la
materia. La información para otras funciones de Ambacar es administrada y almacenada de
conformidad con lo establecido en el sistema de protección de datos personales, garantizando
la seguridad de la información previamente clasificada, salvo que el titular de la información
consienta en tal divulgación.
Los agentes de Ambacar sólo podrán proporcionar información personal a terceros que se
hayan comprometido por escrito a someter la información a los controles de seguridad
correspondientes.
El personal del concesionario Ambacar que liberó información privada a terceros debe
mantener un registro de toda divulgación y este debe contener qué información fue revelada,
a quién fue revelada y la fecha de divulgación.
Cuando un empleado se retira el concesionario Ambacar, su jefe inmediato debe revisar tanto
los archivos magnéticos, correo electrónico como documentos impresos para determinar
72
quién se encargará de dicha información o para ejecutar los métodos para la destrucción de
la información.
Los concesionarios de Ambacar podrán utilizar la intranet como fuente para publicar
documentos que gestionen su relación con los empleados o empleadas. Entonces, cuando está
en uso, los empleados deben tener acceso constante a la intranet y a todos los documentos
que se encuentran en ella.
También se prohíbe a los empleados y sus sitios o sitios web privados crear enlaces o
cualquier otro tipo de enlace a cualquier sitio web de Ambacar, a menos que se haya obtenido
la aprobación previa del director ejecutivo en cada caso. En particular, no se permite la
colocación de enlaces o marcos electrónicos y el uso del nombre comercial o marcas
73
registradas de una organización en páginas que no sean el sitio web de la organización o
como etiquetas meta.
La publicidad en un sitio web personal como agente de Ambacar o sus representantes está
estrictamente prohibida, o la publicación de cualquier dibujo o diseño de producción que
pueda inducir a los visitantes del sitio web a creer que existe algún enlace a Ambacar.
74
• En el sistema de detección de invasiones, es posible automatizar la búsqueda de nuevas
plantillas de ataque con motores de búsqueda estándar y análisis de tráfico de red inusual.
• Sistemas para monitorear y analizar acciones de usuario. De esta manera, puede averiguar
los servicios utilizados por muchos usuarios diferentes y analizar el contenido de tráfico en
la búsqueda de elementos extranjeros.
• La auditoría de configuración de algunos sistemas y brechas también cae en identificadores.
• Puede automatizar tareas como actualizar reglas, recopilar y analizar registros, configurar
firewalls y más.
• Puede detectar ataques en la red de una organización durante o poco después de un ataque.
• Mediante el análisis del tráfico de red y los logs generados (logs), pueden detectar sistemas
que soportan servicios que no deberían estar habilitados.
Tipo de datos a los que se les debe hacer backup y con qué frecuencia.
Junto con el proceso de clonación de copias de seguridad, debe hacer una copia de cada
copia de seguridad para minimizar el riesgo de dañar los discos y los medios de cinta.
75
3.2.8.6.8 Políticas de uso de firewall
Detección de intrusos.
Cada segmento de red accesible desde Internet debe estar equipado con un Sistema de
detección de intrusos (IDS) para que se puedan tomar defensas oportunas contra los ataques.
El cortafuegos debe ser el único componente conectado directamente a Internet, por lo que
cualquier conexión desde la intranet a Internet debe pasar por el cortafuegos.
El coordinador del sistema del concesionario Ambacar debe asegurarse de que todo el
contenido activo (como aplicaciones Java, reproductores Adobe flash, controles ActiveX) se
filtre en la definición de la política del concesionario, debido al tipo de datos. Estos datos
pueden afectar la seguridad de la información del concesionario Ambacar.
Para esto, cada firewall debe ejecutarse en una computadora o modelo de dispositivo
dedicado. Por motivos de rendimiento y seguridad, no se recomienda ejecutar otros tipos de
aplicaciones.
Inventario de conexiones.
Se deben mantener registros de conexiones a redes externas para que todos los puntos de
entrada a la organización tengan una comprensión clara de lo que se logra con el diagrama
de red.
76
El sistema interno de direccionamiento de red no debe ser público.
Los permisos otorgados a un usuario deben reevaluarse anualmente para analizar si los
permisos existentes aún requieren las tareas normales del usuario o si se deben otorgar
permisos adicionales. Esta política debe ser aplicada por el área de sistemas con la
participación de cada gerente de TI.
77
• Informar al presidente sobre el estado de seguridad y protección de la información de
la empresa y la necesidad de nuevos programas relacionados con la seguridad de la
información
• Establecer y apoyar programas para aumentar la conciencia de seguridad y proteger
la información corporativa
• Evaluar la idoneidad, coordinación e implementación de controles de seguridad
específicos para nuevos sistemas o servicios de TI.
• Promover claramente el apoyo institucional para la seguridad de la información en
toda la organización.
• Supervise y controle la exposición de sus activos de información a cambios
importantes en amenazas clave.
• Ver y rastrear incidentes de seguridad de la información. Vigilar la aplicación de
políticas, programas y programas que protegen los sistemas, recursos informáticos y
servidores en la intranet y centros de cómputo de Ambacar Chartered Company.
• Participar activamente en la revisión, evaluación, mantenimiento, recomendación,
mejora y actualización de esta Política por parte de los concesionarios Ambacar.
78
• No deje las computadoras portátiles en lugares públicos
• Cuando viaje, las computadoras portátiles no deben dejarse en la cajuela de un
automóvil y siempre deben llevarse con usted.
• Debe estar en el maletero cuando entres en el coche.
• No preste su computadora portátil a familiares y/o amigos.
Este documento debe revisarse periódicamente o cuando ocurran cambios significativos para
garantizar que el dominio del sistema siga siendo relevante, completo y efectivo.
https://www.telecomunicaciones.gob.ec/wp-content/uploads/2021/06/Acuerdo-No.-006-
2021-Politica-de-Ciberseguridad.pdf
https://owasp.org/www-project-web-security-testing-guide/
79
4 CÁPITULO IV CONCLUSIONES Y RECOMENDACIONES
4.1 Conclusiones
4.2 Recomendaciones
80
Bibliografía
81
[10] N. M. A. a. N. N. G. G. Arias Buenaño, «“Análisis y solución de las vulnerabilidades
de la seguridad informática y seguridad de la información de un medio de comunicación
audio-visual,”,» 2013.
82
[20] Instituto Nacional de Ciberseguridad, «Protección de la información,» 2010.
[26] N. F. D. a. H. Fulford, «“Aligning the information security policy with the strategic
information systems plan”,» Comput. Secur, 2006.
83
[30] S. A. a. I. Chengalur-Smith, «“Evaluating the effectiveness of learner controlled
information security training”,» 2019.
84
[40] R. Fattakhov, «“What Is Vulnerability Assessment, and Why Is It Important?”,»
Parallels RAS, 2020.
[41] V. Overview, «“5 Cybersecurity Vulnerabilities That Need Strong Policies”,» 2021.
[47] McAfee Enterprise, «“How Cybersecurity Policies and Procedures Protect Against
Cyberattacks”,» 2022.
85
[50] A. K. Lab, «¿Qué es la ciberseguridad?,» Resource Center, 2021.
[52] Iberdrola, «Ataques cibernéticos: ¿cuáles son los principales y cómo protegerse de
ellos?,» Innovación, 2022.
[54] G. Rivas, «Estos son los 5 tipos de ciberataques más comunes,» 2020.
[55] Hostalia, «“Ataques de inyección SQL: qué son y cómo protegerse”,» Pressroom, 2013.
[56] I. E. a. A. Wiradarma, «“Open Source Intelligence Testing Using the OWASP Version
4 Framework at the Information Gathering Stage (Case Study: X Company)”,» Int. J.
Comput. Netw. Inf. Secur., 2019.
[57] J. Firch, «“What Are The Different Types Of Penetration Testing?”,» PurpleSec, 2021.
86
[60] OWASP, «OWASP,» 2017. [En línea]. Available: https://owasp.org/www-project-top-
ten/. [Último acceso: 21 10 2021].
[64] Subgraph, “Vega helps you find and fix cross-site scripting (XSS), SQL injection, and
more”, 2014.
87
[70] M. S. A. C. O. Karen Scarfone, «Technical Guide to Information Security Testing and
Assessment,» Maryland: National Institute of Standards and Technology, 2008.
[78] J. Petters, «“What is Metasploit? The Beginner’s Guide”,» Inside Out Security, vol. 1,
nº 1, 2020.
88
ANEXOS
89
Anexo A
Figura 41. Carta de compromiso empresarial
90
Anexo B
Figura 42. Certificado empresarial
91
Anexo C
Soluciones a las diferentes vulnerabilidades encontradas, además de acotar que se puede
observar técnicas de mejora en el plan de contingencia en el punto 3.2.5.6.6.
92
2. Session Cookie Without Secure Flag
<forms requireSSL="true">
</forms>
[…]
</form>
myHttpOnlyCookie.HttpOnly = true;
93
5. X-frame-Options Header Not Set
Configure el encabezado X-Frame-Options para todas las respuestas que contengan contenido
HTML. Los valores posibles son "DENY", "SAMEORIGIN" o "ALLOW- FROM uri", según
la necesidad.
X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN
Usar una biblioteca o marco comprobado que no sea vulnerable CSRF o que proporcione
construcciones que permitan que esta debilidad sea más sencilla de evitar, la cual se debe
aplicar en la fase de arquitectura y diseño.
myHttpOnlyCookie.HttpOnly = true;
94
9. Divulgación de la marca de la hora – Unix
Política de divulgación
Siempre que sea posible, asegúrese de que el encabezado HTTP de control de caché esté
configurado con "no-cache, no-store, must-revalidate". Si un activo debe almacenarse en caché,
considere establecer las directivas 'public, max-age, inmutable'.
95
12. X ASPNET-Version Response Header
96
Anexo D
Tabla 10. Cumplimiento de objetivos.
Fuente: Elaboración Propia
SI NO
3.2.4.5 Determinación de
metodología a través de matriz
97
de Facturación de acuerdo con
las vulnerabilidades y
problemas de seguridad
encontrados.
98